【Linux 驱动】Netfilter/iptables (八) Netfilter的NAT机制

最新推荐文章于 2022-07-18 19:47:51 发布
最新推荐文章于 2022-07-18 19:47:51 发布
阅读量3.2k 收藏 8
点赞数 2
分类专栏: Linux Driver linux内核驱动&Netfilter 文章标签: Netfilter NAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenqian1991/article/details/50413538
版权

NAT是Network Address Translation的缩写,意即“网络地址转换”。从本质上来说,是通过修改IP数据首部中的地址,以实现将一个地址转换成另一个地址的技术。

当然在某种情况下,修改的不仅仅是IP首部的来源或目的地址,还包括其它要素。
随着接入Internet的计算机数量不断猛增,IP地址资源也就愈加显得捉襟见肘。这也是Ipv6出现的一大原因。

我们现在所有的IP地址是32位,意味着其代表的主机数量是有限的(2^32 ~= 42亿),实际是不够用的(计算机、路由器、网络设备,PDA、无线网络电话等等都要占用IP地址)。

当初划分IP时,各保留一段私有IP区间。私网IP(私有IP)是指这些IP只能在企业内部使用,而无法应用在因特网上,简而言之,就是私有IP不能直接与Internet进行互相通信。

目前NAT技术更多地被使用在将一个私网IP地址网段,转换为一个或几个公网IP地址,以实现私网与Internet的互相通讯。
Internet上的路由器如果看到这些私有IP的数据包,就会将其丢弃。

我们先来通过一个例子解释下这个问题:
在下图中,我们在192.168.0.0/24这个私有ip与10.0.1.0/24这个公有ip加了个路由器。假设10.0.1.200是公网ip。

这里写图片描述

首先,192.168.0.1的这台主机尝试访问Internet上的1.2.3.4这台主机,因此,192.168.0.1主机会发送一个请求数据包给默认网关,这个数据包的源ip和目的ip如图中标记的1所示,来源ip是192.168.0.1,目的ip是1.2.3.4,由于是路由器的缘故,这个数据包的源ip和目的ip地址都不会发生改变,接着,路由器会转发这个数据包给1.2.3.4主机,当1.2.3.4主机收到请求数据包后,其源ip和目的ip如3所示。然后,1.2.3.4主机响应请求,回送一个数据包给192.168.0.1,但是该数据包中的目的ip是192.168.0.1,是一个私有ip,因此这个数据包不可能被回送给192.168.0.1,也就不能进行正常通信。

为了提高Internet上数据包的传输效率,Internet上的路由器通常不检查数据包中的“来源IP”,而只会看目的端的IP,所以私有IP的主机可以发出请求,但是得不到回应。

这个问题的解决办法就落到了我们今天要介绍的NAT机制上。只要通过NAT的机制,就可以让成千上万台计算机同时通过一个公网IP来连接Internet。

下面我们大致介绍下NAT原理:

这里写图片描述

与上面路由器的区别在于,我们多个个NAT机制,NAT主机将这个数据包内的“来源IP”改成NAT主机上的公网IP(10.0.1.200),如标记2所示,这样一来,该数据包的源ip和目的ip都变成了公有IP,同时,NAT主机会将这个数据包的信息记录起来,接下来,这个数据包发送到了1.2.3.4。该主机响应,发回响应数据报的时候,这个数据包的目的ip成了10.0.1.200这个公网ip,而不是192.168.0.1这个私有ip,这样该数据包就可以顺利的到达NAT主机,然后NAT主机根据之前记录下来的信息中找到当初NAT主机关于这个的转换记录,再转回来,该数据包的目的IP就成了真正的目的主机192.168.0.1这个私有ip,但此时已经不是在Internet上了,所以这个数据包是可以通过NAT主机回送给我们的私有IP主机的。

这样一来,通过NAT机制,就成功实现了私有IP通过NAT主机去访问Internet上的资源。

除此之外,NAT机制应用在客户端,可以隐藏客户端的IP,由此达到保护客户端主机免于Internet的攻击行为,以及节省公用IP的使用量;应用在服务器端,则可以保护服务器端主机在Internet上的安全。

(需要知道,事实上,单靠NAT机制并不是万能的。)

对于NAT,有两个名字需要了解:那就是SNAT和DNAT,根据上面的分析以及这个名字,我们很容易得知。SNAT就是变更Source IP的机制,DNAT就是变更 Destination IP的机制。

NAT种类繁多,有一对一、多对多、一对多和NATP等四种。

从下面这张图可以看出,NAT机制出现在PREROUTING、OUTPUT和POSTROUTING这三个chain中

这里写图片描述

下面以下图NAT的结构为例,介绍NAT的完整结构,并解释每个链的用途。

这里写图片描述

1、 PREROUTING
该链的位置在整个NAT机制的最前面,该链的功能在于执行DNAT的任务,因此在执行DNAT时,几乎是数据包一旦进入NAT机制,数据包内的 “Destination IP” 即被修改,而这个顺序问题在整个防火墙的设置上是非常重要的。
2、POSTROUTING
该链的任务是修改数据包内的“来源端IP”,也就是说,该链的功能用于执行SNAT的任务,该链位于整个NAT机制的最末端,因此当我们执行SNAT操作时,Source IP是在整个NAT机制的最末端才会被修改的。
3、OUTPUT
当本机进程生成数据包并向外发送时,这个数据包会先交给路由表来判决路由,接着数据包进入OUTPUT链,最后进入POSTROUTING链,然后离开本机。这个数据包是不可能经过PREROUTING链,前面说到PREROUTING链的功能是执行DNAT的任务,也就是修改目的端IP,所以由本机进程生成的数据包,需要通过OUTPUT链,而这个OUTPUT链的功能就是执行DNAT的任务。所以对于本机进程生成的数据包的DNAT规则是要放在OUTPUT链之内,而不是PREROUTING中。

关于NAT机制的分类,我们这里就不赘述了。后面我们将深入到Netfilter 源码内部探索SNAT机制和DNAT机制。

参考资料:
《Linux网络安全技术与实现》

selfimpr1991
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux网络安全Netfilter机制iptables工具
10-21
传统 ipchains 的任何功能(来源与目的封包过滤、导向、伪装)。 提供 Source NAT 与 Destination NAT 的功能。 可以针对特定使用者、群组、PID 等限制网络连结的过滤存取。 可以设定封包在 Routing Table 进出前时先预先处理。 可以针对外面自动建立、与现有联机有关这类联机过滤处理。 可以针对 Mac 卡号直接处理。
一个iptables的stateless NAT模块实现
12-27
如果你在寻找Linux上配置诸如Cisco设备上的static双向NAT的方法,这个或许就是你想要的; what?你觉得它完不成PAT?是的,它不行。但是想做PAT为何不使用现有的iptables实现呢?它可以自动为你解决元组唯一性问题。不要从概念上分析,事实上,static双向NAT是完全对称的,一对一的 ,也只有在BOX两边的网络在拓扑级别是完全对等的情形下,这种NAT或许才是有用的,Cisco设备经常处在这样的位置,比如一个很大的stub节点的出口位置,比如两个domain的中间位置... 我将名字取为STATIC-2-WAY-NAT,比较长也比较怪,完全不符合UNIX的小写短名传统,我的想法是:这样可以少写很多的帮助信息,因为名字就是自解释的。
Linux-iptables命令解析.doc
02-05
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
netfilter/iptables(简称为iptables
01-09
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
netfilter_queue的安装包所需依赖包,先安装libmnl然后libnfnetlink最后netqueue。在钩子点可以通过return NF_QUEUE对所需数据包进行地址转换
linux内核5.4.155编译支持iptables nat
superbfly的专栏
10-27 1397
make menuconfig进去菜单后按下面顺序选择: Networking support ---> Networking options ---> Network packet filtering framework (Netfilter) ---> Core Netfilter Configuration ---> Netfilter connection trackin...
nftables脚本例子:过滤和NAT
wangcg123的专栏
09-22 2484
#! /bin/bash #清空当前规则集: nft flush ruleset #查询当前规则集: nft list ruleset #添加一个表: nft add table inet filter #添加input、forward和output三个基本链。input和forward的默认策略是drop。output的默认策略是accept。 nft add chain inet filter input { type filter hook input priority 0 \; policy .
Netfilter学习之NAT类型动态配置(五)全锥型、限制型锥形、端口限制型锥型、对称型NAT的实现思路
热门推荐
ty的博客
04-14 3万+
  本节中,我们根据上节的分析,从理论上分析不同NAT的实现思路。对NAT不了解的可以看Netfilter学习之NAT类型动态配置(二)。 1. 端口限制型NAT   Port Restricted NAT是Netfilter中自带的NAT转化规则,即MASQUERADE。此种情况下,需要检测外部tuple和目标tuple四个变量,均相同才可以成功访问内部tuple。 2. 限制型N...
netfilter内核实现概述
qq_17045267的博客
01-23 1990
netfilter内核实现概述 一、前言 netfilterLinux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
netfilternat
fengcai_ke的博客
07-18 670
netfilter nat实现分析
netfilter.pdf
12-31
主要对netfilter框架的原理和源码进行讲解,对于netfilteriptables、conntrack、nat直接如何配合,进行了详细的图标绘制,源码分析,对于个人理解netfilter框架有很好的提高
iptables的代码实现nat
03-21
使用iptables进行设置的基本命令,配置正确的iptables命令
Linux netfilter/iptables知识点详解
01-09
NetfilterLinux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间...
Linux 驱动】Netfilter/iptables (五) 数据包过滤
wenqian 'blog
12-22 7517
通过前面的学习,我们窥探了整个Netfilter框架,下面我们就通过一些编程实例来进一步学习。一. 基于网络设备接口进行数据包过滤 根据hook函数接收的参数中的 struct net_device 结构,net_device 结构体用于描述网络接口设备,其中name这个成员表示对应设备的名字,我们可以通过比对来判断数据包的源接口或目的接口。/*安装一个丢弃所有进入我们指定接口的数据包的 netf
Linux 驱动】Netfilter/iptables (六) 内核协议栈编程(发送skb)
wenqian 'blog
12-25 5276
内核态基于 Netfilter 构造skb数据包 前面第四篇介绍了 Netfilter Hook 机制,我们知道了数据包在协议栈中传递时会经过不同的HOOK点,而每个HOOK点上又被Netfilter预先注册了一系列hook回调函数,每个数据包经过时都会经过这些hook函数的处理。在hook回调函数中,你可以进行任何操作,这些操作你都可以自定义,然后以模块的形式加载进去。这里我们给出一个实例:每收
Linux 驱动】netfilter/iptables (二) Netfilter hook 数据结构
wenqian 'blog
12-22 4441
NetfilterLinux 2.4.x 引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤(filter)、网络地址转换(NAT)和基于协议类型的链接跟踪成为了可能。这些功能仅通过使用内核网络代码提供的各式各样的hook函数完成。对于数据在网络协议栈中的传送过程,前面我们花了较大篇幅,从原理到内核源码剖析了数据包在整个协议栈的传送过程,包括发送
Linux驱动】轮询操作select()和poll()
wenqian 'blog
12-12 4057
使用非阻塞I/O的应用程序通常会使用select()和poll()系统调用查询可对设备进行无阻塞的访问。select()和poll()系统调用最终会引发设备驱动中的poll()函数被执行。 select()和poll()系统调用的本质是一样的。本系列只关注设备驱动中的函数层,对于应用层具体请参考《APUE》或《TLPI》(linux/unix系统编程手册),楼主手上就有这两本书,在编写应用态测试
Linux 驱动】Netfilter/iptables (四) 窥探 Netfilter Hook 机制
wenqian 'blog
12-22 3702
上篇文章介绍了注册和注销Netfilter/iptables,其中对于hook函数,我们没有具体到数据包的规则处理,直接一律来者皆拒(NF_DROP)。 ok,我们接着前面,深入探索下hook函数: typedef unsigned int nf_hookfn(const struct nf_hook_ops *ops, struct sk_buff *s
Linux 驱动】netfilter/iptables (一) 基础概念
wenqian 'blog
12-20 3522
在介绍netfilter/iptables之前,我们先来了解下防火墙: 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先
基于Netfilter从零开始写一个Linux防火墙
最新发布
03-04
好的,我会用中文回答您的问题。 NetfilterLinux内核中的一个框架,用于在数据包传输时进行处理。它可以被用来实现防火墙、网络地址转换(NAT)等功能。下面是一个基于NetfilterLinux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 2. 允许本机向外发起的连接通过: ``` iptables -A OUTPUT -p tcp -dport 80 -j ACCEPT ``` 3. 阻止来自指定IP地址的数据包: ``` iptables -A INPUT -s 192.168.1.1 -j DROP ``` 4. 允许本机的所有数据包通过: ``` iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ``` 以上是一个简单的基于NetfilterLinux防火墙示例。您可以根据需要进行调整和修改。注意,使用防火墙时要小心,以免误阻止或允许不必要的数据包,导致网络故障或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值